มัลแวร์เรียกค่าไถ่ Ransomware

ทุกวันนี้อินเตอร์เน็ตเข้ามามีอิทธิพลต่อชีวิตประจำวันเป็นอย่างมาก ทุกคนไม่ว่าจะเป็นใคร ทำอาชีพอะไร อยู่ที่ไหนในโลกนี้ก็สามารถเข้าถึงอินเตอร์เน็ตได้ด้วยอุปกรณ์ต่าง ๆ ที่หลากหลาย เช่น คอมพิวเตอร์ แท็บเล็ต และสมาร์ทโฟน เป็นต้น อุปกรณ์เหล่านี้ทำให้เราเข้าถึงโลกอินเตอร์เน็ตที่กว้างใหญ่ได้ ดังนั้นเราจึงไม่ควรมองข้ามภัยอันตรายที่แฝงอยู่ในรูปแบบต่าง ๆ โดยเฉพาะอย่างยิ่งภัยอันตรายที่มาจากมัลแวร์ชนิดหนึ่งที่มันจะมาจับเครื่องหรือไฟล์ของเราเป็นตัวประกัน เพื่อเรียกค่าไถ่ มัลแวร์ชนิดนี้สร้างความตื่นตัวให้กับคนทั่วโลก รวมถึงประเทศไทยมาแล้ว  ดังจะเห็นได้จากหน่วยงานราชการต่าง ๆ ในประเทศไทยได้มีการออกหนังสือราชการ ประกาศแจ้งเตือนให้เพิ่มความระมัดระวังในการเปิดอ่านไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์ให้มากยิ่งขึ้น

รูปที่ 1 ตัวอย่างหนังสือราชการแจ้งเตือนให้เพิ่มความระมัดระวังในการเปิดอ่านจดหมายอิเล็กทรอนิกส์
[ที่มา : http://www.tourism.go.th/subweb/details/7/88/24949 และ http://www.chkr.go.th/2/images/vs.pdf ]
มัลแวร์ที่ประสงค์ร้ายต่อข้อมูลในอุปกรณ์ต่าง ๆ ของเราดังกล่าว จัดเป็นมัลแวร์ประเภท “Ransomware” หรือ “มัลแวร์เรียกค่าไถ่” มีเป้าหมายที่ตรวจพบการโจมตีแล้วทั้งในระบบปฏิบัติการ Window, Android, iOS และ Linux โดยแบ่งตามการทำงานออกเป็น 2 รูปแบบหลัก ๆ อุปกรณ์ต่าง ๆ ของเรานคือ

  1. Lock Screen Ransomware
    Ransomware รูปแบบนี้จะใช้ความสามารถของ Lock Screen ทำการล็อคหน้าจอหรือปิดกั้นการเข้าใช้งานเครื่องคอมพิวเตอร์ หรือสมาร์ทโฟนของเหยื่อไว้ ไม่ให้สามารถเข้าถึงโปรแกรมต่าง ๆ และข้อมูลในเครื่องได้ พร้อมทั้งแสดงข้อความเรียกค่าไถ่เพื่อปลดล็อคดังรูปที่ 2 เป็นหน้าจอของสมาร์ทโฟนระบบปฏิบัติการ Android ที่ติด Ransomware ชื่อ iToper
    รูปที่ 2 ตัวอย่างหน้าจอสมาร์ทโฟนที่ติดมัลแวร์ชนิด Lock Screen Ransomware ที่ชื่อ iToper
    [ที่มา : http://www.cmcm.com/blog/en/security/2015-06-16/645.html ]
  2. File Encrypting Ransomware
    เครื่องผู้ใช้งานที่ติด Ransomware ในรูปแบบนี้จะสามารถใช้งานอุปกรณ์ และเข้าถึงโปรแกรมต่าง ๆ ได้ตามปกติ แต่ไฟล์ต่าง ๆ ที่อยู่ในเครื่องทั้งหมด ไม่ว่าจะเป็นไฟล์เอกสาร ไฟล์วีดีโอ หรือไฟล์รูปภาพ และอื่น ๆ จะถูกเข้ารหัสไว้ไม่ให้ผู้ใช้งานสามารถเข้าถึงได้ จากนั้นจึงเรียกค่าไถ่โดยการทิ้งข้อความแสดงคำแนะนำวิธีการจ่ายเงินเพื่อแลกกับคีย์ที่ใช้ในการถอดรหัสไฟล์กลับคืนมาดังรูปที่ 3 เป็นตัวอย่างหน้าจอการเรียกค่าไถ่ของ Ransomware รูปแบบนี้ที่ชื่อ CryptoLocker
    รูปที่ 3 หน้าจอของเครื่องคอมพิวเตอร์ที่ติด Ransomware รูปแบบ File Encrypting ransomware ชื่อ CryptoLocker
    [ที่มา : https://www.thaicert.or.th/papers/technical/2013/pa2013te011.html ]

    สถิติการโจมตีของ Ransomware

    มีสถิติที่น่าสนใจจาก Solutionary ซึ่งเป็นบริษัทด้านความปลอดภัยในเครือ NTT Group ได้ออกรายงานสถิติการโจมตีของ Ransomware ที่ตรวจพบได้ในไตรมาสที่ 2 ของปี 2016 พบว่าหน่วยงานด้านสาธารณสุขเป็นหน่วยงานที่ถูกโจมตีมากที่สุดถึง 88% รองลงมาคือหน่วยงานด้านการศึกษา 6% และหน่วยงานด้านการเงิน 4% โดย Ransomware สายพันธ์ที่ตรวจพบมากที่สุดคือ CryptoWall คิดเป็น 94%

รูปที่ 4 สถิติการโจมตีของ Ransomware ในไตรมาสที่ 2 ปี 2016 [ที่มา : https://www.helpnetsecurity.com/2016/07/27/ransomware-healthcare-industry ]

ช่องทางการโจมตีของ Ransomware

  1. การโจมตีส่วนใหญ่จะมาทางอีเมล์หลอกลวงที่แนบไฟล์ Ransomware ไว้ โดยเนื้อหาในอีเมล์จะดึงดูดให้ผู้อ่านอยากคลิกเข้าไปอ่าน เช่น อีเมล์แจ้งเลขที่ใบสั่งซื้อสินค้า (OrderID) หากผู้ใช้ไม่คลิกไปเปิดไฟล์แนบ ก็อาจจะทำให้สูญเสียโอกาสทางการค้าได้ ซึ่งถ้าผู้ใช้คลิกเปิดไฟล์โดยไม่ระมัดระวัง ก็จะตกเป็นเหยื่อของ Ransomware ทันที ไฟล์แนบที่มากับอีเมล์จะเป็น zip file หากแตกไฟล์ออกมาก็จะพบไฟล์นามสกุล .doc, .xls, .ppt หรือไฟล์อื่นๆ ที่เราคุ้นเคย แต่ถ้าสังเกตดี ๆ จะพบว่านามสกุลของไฟล์จริง ๆ แล้วเป็น .exe เรียกเทคนิคการตั้งชื่อไฟล์แบบนี้ว่า Double Extensions
  2. โจมตีด้วยวิธี Social Engineering เป็นการหลอกผู้ใช้งานให้ดาวน์โหลดโปรแกรมมาติดตั้งในเครื่อง เช่น ในขณะที่ใช้งานระบบลงทะเบียนเรียนออนไลน์ของมหาวิทยาลัย พบว่ามี Pop-up ขึ้นมาบอกว่า ให้ดาวน์โหลดโปรแกรมเสริมมาติดตั้งเพื่อให้สามารถลงทะเบียนได้สะดวก และรวดเร็วขึ้น ทั้ง ๆ ที่โปรแกรมนี้ไม่มีอยู่จริง หากผู้ใช้งานหลงเชื่อและทำการดาวน์โหลดมาติดตั้ง ไฟล์ต่าง ๆ ก็จะโดนจับเป็นตัวประกันทันที
  3. โจมตีทางช่องโหว่ของ Browser รวมถึง Add-on, Plug-in ต่าง ๆ เช่น Java, Flash และ Acrobat Reader เป็นต้น

เทคนิคที่ File Encrypting Ransomware ใช้ในการเข้ารหัส

Ransomware ส่วนใหญ่จะเข้ารหัสไฟล์โดยใช้ Asymmetric Key Algorithms ประกอบด้วยกุญแจ 2 ดอก คือ Public Key ใช้ในการเข้ารหัส และ Private Key ใช้ในการถอดรหัสดังรูป

รูปที่ 5 การเข้ารหัส และถอดรหัส [ที่มา : https://www.hotforsecurity.com /blog /how-does-ransomware-work-the-ultimate-guide-to-understanding-ransomware-part-ii-11856.html]

ขั้นตอนการทำงานของ Ransomware

การโจมตีของ Ransomware จะมีขั้นตอนการทำงาน 6 ขั้นตอน ดังรูป โดย 3 ขั้นตอนสุดท้ายจะใช้การสื่อสารผ่าน TOR (The Onion Router) เพื่อปกปิดตัวตนของโจร และทำให้ไม่สามารถทราบได้ว่าเชื่อมต่อจากที่ไหน

รูปที่ 6 ขั้นตอนการทำงานของ File Encrypting Ransomware [ที่มา : https://www.sans.org/reading-room/whitepapers/incident/enterprise-survival-guide-ransomware-attacks-36962]
  1. ส่งข้อมูลหลอกลวงผู้ใช้งานในรูปแบบของอีเมล์ที่มีไฟล์แนบ หรือลิงค์สำหรับดาวน์โหลดโปรแกรม
  2. ผู้ใช้งานดาวน์โหลดไฟล์ Ransomware จากไฟล์แนบหรือลิงค์หลอกลวง
  3. ผู้ใช้งาน Double Click เพื่อเปิดไฟล์ที่ดาวน์โหลดมา ก็จะเป็นการสั่งให้ Ransomware ทำงานทันที
  4. Ransomware ทำการเชื่อมต่อไปยัง Command and Control Center (C&C) หรือเครื่องเซิร์ฟเวอร์ที่ทำหน้าที่เก็บข้อมูล และคีย์ที่ใช้ในการถอดรหัสของเหยื่อแต่ละราย ซึ่ง Ransomware จะต้องทำการเชื่อมต่อ C&C ให้ได้ก่อนที่จะดำเนินการขั้นต่อไป จากนั้นจึงสร้าง RSA Key ขนาด 2,048 bits ขึ้นมาคือ Public Key ที่ใช้สำหรับเข้ารหัส และ Private Key ที่ใช้สำหรับถอดรหัสโดย C&C จะเก็บ Private Key ไว้ และส่ง Public Key ไปยังเครื่องเหยื่อ
  5. Ransomware จะทำการค้นหาไฟล์ต่าง ๆ บนเครื่องเหยื่อโดยดูจากนามสกุลไฟล์ ทั้งไฟล์รูปภาพ (เช่น .jpg, .gif, .png) วีดีโอ (เช่น .avi, .mpeg, .mov) และเอกสาร (เช่น .doc, docx, xls, xlsx) เป็นต้น จากนั้นจึงใช้ RSA Algorithm เข้ารหัสไฟล์ด้วย Public Key และแสดงตัวเพื่อเรียกค่าไถ่โดยการทิ้งข้อความแจ้งเตือนเหยื่อว่าไฟล์ทั้งหมดถูกเข้ารหัสแล้ว ไม่สามารถใช้งานได้ และเหยื่อต้องยอมจ่ายเงินเป็นจำนวนที่โจรต้องการในรูปแบบของ Bitcoins เพื่อแลกกับ Private Key ที่ใช้ในการถอดรหัสภายในระยะเวลาที่กำหนด ไม่เช่นนั้นจะขึ้นค่าไถ่ หรือทำลายคีย์ทิ้ง และจะไม่สามารถถอดรหัสไฟล์ได้อีก
  6. หากเหยื่อจ่ายเงินค่าไถ่ตามคำแนะนำของโจร ก็อาจจะได้รับ Private Key ภายใน 2 – 48 ชั่วโมง และจะทำการถอดรหัสไฟล์ให้โดยอัตโนมัติ แต่ไม่รับประกันว่าจะสามารถถอดรหัสได้ทุกไฟล์หรือไม่

จากข้อมูลผู้ให้บริการตรวจสอบชนิดของ Ransomware ที่ https://id-ransomware.malwarehunterteam.com สามารถตรวจสอบและระบุตัว ransomware ได้ต่างกัน 187 ชนิด ซึ่งแต่ละชนิดจะมีรายละเอียดต่างกัน เช่น CryptoLocker และ Ransom32 มีรายละเอียดดังนี้

CryptoLocker

เป็นมัลแวร์ที่แพร่กระจายในรูปของไฟล์แนบ zip file ในอีเมล์ซึ่งถูกส่งมาจากผู้ส่งที่น่าเชื่อถือ หากแตกไฟล์ออกมาก็จะพบไฟล์ .exe ในรูปของไฟล์เอกสาร เช่น pdf, word, excel เป็นต้น หากผู้ใช้ Double Click จะทำให้ไฟล์ต่าง ๆ ถูกเข้ารหัสทันที โดยตัวอย่างหน้าจอ CryptoLocker เป็นดังรูป

รูปที่ 7 หน้าจอคอมพิวเตอร์ที่โดน CryptoLocker เข้ารหัสไฟล์เรียบร้อยแล้ว และรายชื่อไฟล์ที่ถูกเข้ารหัส [ที่มา : https://www.it24hrs.com/2015/ransomware-alert]

Ransom32

เป็นมัลแวร์รูปแบบใหม่ที่พัฒนาโดยใช้ภาษา Java Script ภายใต้แนวคิด Software as a Service (SaaS) เชื่อมต่อกับ C&C ผ่านทาง TOR เช่นเดียวกับ Ransomware สายพันธ์อื่น ๆ  การพัฒนาด้วยแนวคิด SaaS จะทำให้ใครก็ตามสามารถสร้างมัลแวร์เป็นของตนเองได้ทันทีโดยอาศัยการตั้งค่าต่าง ๆ เช่น จำนวนเงินที่เรียกร้อง และข้อความแจ้งเตือน เป็นต้น ผ่านทางเว็บไซต์ที่ซ่อนอยู่ภายในเครือข่าย TOR

รูปที่ 8 ตัวอย่างข้อความเรียกค่าไถ่ของ Ransom32
[ที่มา : http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html]

หากตกเป็นเหยื่อของ Ransomware แล้วต้องทำอย่างไร

  1. ในกรณีที่ไฟล์ที่ถูกเข้ารหัสเป็นไฟล์สำคัญจริง ๆ ก็ต้องจ่ายเงิน แต่ก็ไม่สามารถรับประกันได้ว่าจะสามารถได้ไฟล์คืนมา เนื่องจากการทำธุรกรรมกับโจรย่อมมีความเสี่ยงที่จะเป็นผู้เสียเงินฝ่ายเดียว หากเป็นไปได้ไม่ควรใช้วิธีการนี้ เนื่องจากการจ่ายเงินเป็นการสนับสนุนธุรกิจของโจร
  2. ห้ามใช้เครื่องที่ติด Ransomware เชื่อมต่อกับเครือข่าย Flash Drive หรือ External Hardisk เนื่องจากอาจจะเป็นการกระจายมัลแวร์ไปยังเครื่องอื่น ๆ ได้
  3. ควร Format เครื่อง และติดตั้งระบบปฏิบัติการใหม่

การป้องกันภัยจาก Ransomware

  • เนื่องจากช่องทางการแพร่กระจายของ Ransomware โดยส่วนใหญ่จะมาทางอีเมล์ขยะ ผู้ใช้งานจึงควรเลือกใช้โปรแกรมสำหรับจัดการอีเมล์ และบริการอีเมล์ที่มีคุณสมบัติการช่วยกรองอีเมล์ขยะที่มีประสิทธิภาพ
  • ควรเพิ่มความระมัดระวังในการใช้อินเตอร์เน็ตให้มากยิ่งขึ้น หากสงสัยว่าไฟล์ที่ดาวน์โหลดมาเป็นมัลแวร์ ก็สามารถทำการตรวจสอบได้โดยการอัพโหลดไฟล์ดังกล่าวไปทดสอบกับเว็บไซต์ https://www.virustotal.com
  • ตั้งค่าเครื่องคอมพิวเตอร์ให้แสดงนามสกุลไฟล์ จะทำให้สังเกตไฟล์ที่มีลักษณะเป็น Double Extension ซึ่งเป็นเทคนิคที่ Ransomware ใช้ในการหลอกลวงผู้ใช้ได้ง่ายยิ่งขึ้น
  • ทำการอัพเดทโปรแกรมต่าง ๆ ที่มักจะเป็นเป้าหมายในการฝังมัลแวร์ไว้ เช่น Java, Adobe Flash Player, Microsoft Silverlight, Adobe Reader, Web Browser เป็นต้น รวมทั้งระบปฏิบัติการ และโปรแกรม Antivirus ให้ทันสมัยอยู่เสมอ
  • สำรองข้อมูลอย่างสม่ำเสมอไว้ในฮาร์ดดิสสำรองเพื่อป้องกันข้อมูลสูญหาย ซึ่งเมื่อทำการสำรองข้อมูลเสร็จแล้วควรรีบปลดสายออก
  • ควรติดตั้งส่วนเสริมสำหรับ Browser ที่ใช้ในการปิดกั้นโฆษณา เนื่องจากมัลแวร์มีการแพร่กระจายโดยการฝัง Script สำหรับดาวน์โหลดมัลแวร์ไว้ในแบนเนอร์โฆษณา

แหล่งที่มาของข้อมูล

  • https://www.sans.org/reading-room/whitepapers/incident/enterprise-survival-guide-ransomware-attacks-36962
  • https://izonex.wordpress.com/2008/10/26/anoymous-software-tor
  • https://www.it24hrs.com/2015/ransomware/
  • https://www.hotforsecurity.com/blog/money-or-data-the-ultimate-guide-to-understanding-ransomware-part-i-11808.html
  • https://www.techtalkthai.com/ransom32-saas-ransomware/
  • http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html
  • http://www.aripfan.com/ransomware-email-virus/
  • https://www.helpnetsecurity.com/2016/07/27/ransomware-healthcare-industry
  • http://www.tourism.go.th/subweb/details/7/88/24949